Cuando los CISO piensan en riesgos, suelen pensar en plataformas en la nube, portátiles y centros de datos. Sin embargo, eventos en vivo como conferencias, ferias comerciales, lanzamientos de productos y juntas de accionistas conllevan un tipo diferente de exposición a la ciberseguridad. Estos eventos reúnen a personas, dispositivos e información confidencial en un solo lugar, a menudo durante solo uno o dos días. Esto los convierte en un objetivo atractivo.
Los eventos también combinan sistemas digitales y físicos. Una vulnerabilidad en un área puede provocar una vulneración en otra. Sin embargo, muchas organizaciones aún tratan los eventos como un problema logístico en lugar de un problema de seguridad.
Los eventos son un imán de riesgos
Los atacantes buscan puntos débiles. Los eventos suelen tener varios:
- Redes temporales: Muchos eventos dependen de wifi público o puntos de acceso privados. Estos no siempre son seguros.
- Alto volumen de viajes: Los empleados asisten a eventos con computadoras portátiles y teléfonos que pueden estar menos protegidos de lo habitual. Algunos utilizan puntos de acceso personales o cargadores USB en lugares públicos.
- Horarios públicos: las listas de oradores, los temas de las sesiones y los hashtags de eventos pueden brindarles a los atacantes toda la información que necesitan para crear campañas de phishing convincentes .
- Tecnología nueva o sin probar: Los eventos pueden usar aplicaciones móviles de registro, credenciales NFC, códigos QR y quioscos. Todos estos pueden verse comprometidos.
Muchos problemas de seguridad en eventos comienzan con el acceso físico. Un proveedor, un asistente o incluso alguien que finge ser parte del equipo audiovisual podría acceder a áreas restringidas o conectar dispositivos en puertos abiertos.
También hay un auge en la tecnología que combina la presencia física con el acceso digital, como las credenciales inteligentes que también funcionan como claves de inicio de sesión NFC o las pantallas interactivas que se conectan a sistemas administrativos. Estas configuraciones pueden ser comunes en eventos, pero rara vez se auditan como los sistemas internos.
Incluso algo tan simple como una unidad USB promocional puede suponer un riesgo.
Al planificar un evento de ciberseguridad en vivo, la gestión de riesgos comienza mucho antes de la primera conferencia. Para Hrvoje Englman, CISO de Span, quien participó en la seguridad de la conferencia Span Cyber Security Arena , el enfoque no difiere del de cualquier otra operación empresarial.
“Se empieza por preguntar qué debe salir bien para que los asistentes tengan una gran experiencia”, dijo, “o se puede abordar desde otra perspectiva y preguntarse qué podría salir mal”.
Esa doble perspectiva se volvió crucial a medida que su equipo exploraba maneras de modernizar la experiencia de los asistentes, empezando por el programa del evento. Una propuesta sobre la mesa era sustituir los horarios impresos por una aplicación de chatbot con IA que pudiera proporcionar actualizaciones en tiempo real y recomendaciones personalizadas de sesiones.
“La idea era atractiva porque podía ofrecer recomendaciones de sesiones personalizadas según la información del usuario y nos permitiría enviar actualizaciones en tiempo real y ajustar el cronograma dinámicamente”, explicó Englman.
Pero la contrapartida fueron los datos. Implementar el chatbot habría requerido recopilar y almacenar información personal adicional de los asistentes, lo que planteaba serias dudas sobre la seguridad y el cumplimiento normativo.
“Al final, decidimos que el riesgo era demasiado alto y volvimos a los programas impresos”, dijo. Claro que esa decisión conllevaba sus propios riesgos. Un programa impreso no se actualiza solo, y los eventos en vivo tienen sus partes móviles. Cuando los ponentes abandonan o las sesiones cambian a última hora, pueden aparecer huecos rápidamente.
Luego está el tema de la infraestructura. Para un evento centrado en el aprendizaje práctico y las demostraciones en vivo, una conexión a internet estable es esencial. Esta realidad se hizo patente al planificar la competencia «Captura la Bandera» y las clases magistrales.
“Basándonos en nuestra experiencia en otras conferencias, sabíamos que depender del wifi del hotel y de puntos de acceso personales no era una opción fiable”, dijo Englman. “Para mitigar ese riesgo, instalamos nuestra propia conexión a internet redundante”.
El resultado fue un evento más fluido y seguro que equilibró la innovación con la prudencia operativa. Es una lección que aplica tanto a las salas de juntas como a los centros de conferencias.
La seguridad de los eventos merece una mentalidad cibernética
Muchos de los mayores riesgos en torno a los eventos en vivo no provienen del interior del recinto. Se originan en línea, días antes de la llegada de cualquier persona.
“El riesgo más ignorado que vemos con frecuencia es la infraestructura de dominio malicioso vinculada al phishing, las estafas y la suplantación de identidad relacionados con eventos”, declaró Abu Qureshi , director de Investigación y Mitigación de Amenazas de BforeAI, a Help Net Security. “A los cibercriminales les encantan los eventos con gran afluencia de público. Registran dominios falsos que ofrecen ventas de entradas falsas, transmisiones en vivo falsas, promociones falsas e incluso códigos QR maliciosos vinculados a la imagen del evento”.
Estos sitios y dominios falsos pueden eludir a los equipos de seguridad, especialmente cuando varios departamentos participan en la planificación y el marketing del evento. En muchos casos, ni siquiera se denuncian hasta que los asistentes los detectan.
Otro problema es la exposición de los proveedores. Los eventos suelen recurrir a diversos servicios de terceros, desde equipos de prensa hasta plataformas de registro e impresoras de credenciales.
“Otra área que se suele pasar por alto es la exposición a proveedores externos”, dijo Qureshi. “Los equipos de medios, las plataformas tecnológicas para eventos e incluso los servicios de impresión de credenciales suelen tener una higiene cibernética deficiente . Una vulnerabilidad en este ámbito puede provocar filtraciones de datos de los asistentes o incluso el acceso a la red durante el evento”.
Los actores maliciosos ya no operan manualmente. Qureshi señaló que muchas campañas de amenazas ahora están automatizadas y desarrollan infraestructura antes de eventos importantes, a menudo utilizando contenido generado por IA o kits de phishing para escalar rápidamente.
“La gente subestima la automatización que realizan los actores de amenazas en torno a los eventos”, afirmó. “Hemos rastreado campañas en las que se ataca infraestructura maliciosa días antes del evento para recopilar credenciales, propagar malware o ejecutar estafas de criptomonedas. Si no se realiza una monitorización proactiva de la superficie de ataque externa , anticipándose a la eliminación y la interrupción, y detectando amenazas con anticipación, se opera con una visibilidad limitada”.
Planificación anticipada: qué pueden hacer los CISO
“Ahora se espera que el CISO adopte un enfoque holístico que integre la seguridad física y la ciberseguridad”, afirmó Qureshi. “Estamos abordando la convergencia de ambos elementos”.
Esa convergencia se manifiesta de diversas maneras. En el ámbito técnico, los CISO gestionan la detección de amenazas inalámbricas, la segmentación de red específica para eventos y la monitorización de puntos de acceso no autorizados. Pero los riesgos no terminan ahí.
“Los CISO deben considerar aspectos como la monitorización de amenazas en tiempo real a través de Wi-Fi, la seguridad de la infraestructura de red del evento y la identificación de puntos de acceso no autorizados”, explicó Qureshi. “Pero también deben anticipar situaciones como el phishing de credenciales vinculado al registro del evento, dominios maliciosos que imitan el evento o campañas coordinadas que utilizan el evento como señuelo, especialmente si este tiene repercusión mediática o valor de marca”.
Los eventos deben tratarse como cualquier otro riesgo operativo . Esto significa involucrar al personal de seguridad desde el principio, no la semana anterior al evento. Aquí hay algunas recomendaciones de los CISO:
Revisar proveedores: las herramientas de registro, las aplicaciones móviles, los proveedores de credenciales y los contratistas de AV deben pasar por las mismas verificaciones de riesgo de terceros que otros proveedores.
Segmentar la red: Crear una red independiente para el personal interno. No depender de redes wifi públicas y, si es necesario, usar una VPN y herramientas de monitorización.
Aplique las ideas de confianza cero: limite el acceso a qué, incluso dentro de su equipo de eventos. Asuma que todos los dispositivos están potencialmente comprometidos.
Personal del tren: antes de que los empleados asistan a un evento, bríndeles un resumen rápido de lo que deben evitar, como unidades USB desconocidas, códigos QR sospechosos y Wi-Fi no verificado.
Esté atento al phishing: Los atacantes pueden enviar mensajes falsos a los asistentes antes, durante o después del evento. Esté atento a esto.
Algunas organizaciones también gestionan su propio mini-SOC para eventos de alto perfil. Incluso si esto no es viable, contar con alguien que monitoree aspectos en tiempo real, como el comportamiento de la red o los inicios de sesión sospechosos, puede marcar la diferencia.
Los eventos con una marca o perfil público sólido suelen atraer no solo a oportunistas, sino también a atacantes motivados que buscan avergonzar o explotar a la organización. Esto ha generado nuevas responsabilidades para el CISO.
“En muchos casos, he visto un cambio en las expectativas, ya que el CISO también asesora sobre riesgos reputacionales y amenazas de desinformación”, dijo Qureshi. “Especialmente cuando los eventos son atacados por hacktivistas o actores con motivaciones financieras que utilizan infraestructuras falsas o promociones falsas”.
Este cambio significa que la seguridad de un evento ahora incluye la monitorización de suplantación de identidad, la gestión de solicitudes de retirada de sitios web falsificados y la colaboración con los equipos de comunicaciones o legales en tiempo real si algo sale mal. Para muchos CISO, es un terreno desconocido, pero cada vez más inevitable.
Fuente y redacción: helpnetsecurity.com
